|
|
|
大麻病毒又叫新西蘭病毒,因為最早在1988年初,在新西蘭的惠靈頓市就有發(fā)現(xiàn)大麻病毒的報道。那時的大麻病毒只感染360KB的軟盤,不感染硬盤。后來的大麻變種中,大部分都感染硬盤,有的還改動了顯示信息,有的則把顯示信息語句之前的條件判斷修改成每次啟動時,病毒都在屏幕上顯示出下列字符串:YourPCisnowStoned!LEGALISEMARIJUANA!而不是原始設(shè)計的當系統(tǒng)時鐘計數(shù)器記到8的倍數(shù)時才顯示上述信息。
來源
大麻病毒名字來源于該病毒體內(nèi)的一段信息,目前大麻病毒已有好幾種變種了。
危害
大麻病毒很短小,總共不到400個字節(jié)的代碼就完成了駐留內(nèi)存、修改中斷向量、區(qū)別軟硬盤、感染軟盤、感染硬盤、引導原硬盤主引導扇區(qū)、顯示時機判斷、顯示信息以及大麻病毒感染標志判斷以防止重復感染等眾多功能。
特點
大約在1989年大麻病毒傳入我國,成為在當時四處傳播的一種主要病毒。大麻病毒像其他許多引導區(qū)病毒一樣,對軟盤的感染并不去判斷該軟盤是否含有DOS的系統(tǒng)文件,即不理會該軟盤是否為可啟動的系統(tǒng)盤,因此造成不僅系統(tǒng)盤會被感染,一般的數(shù)據(jù)盤也會被感染。當染有大麻病毒的軟盤插在A:驅(qū)動器中,在系統(tǒng)重新啟動時首先嘗試讀A:盤。只要軟盤的引導扇區(qū)內(nèi)容被讀進PC機,即使啟動不成功,大麻也已經(jīng)駐留在內(nèi)存中,可以繼續(xù)去感染硬盤和他未染病毒的軟盤了。PC機將隱藏在軟盤引導扇區(qū)的病毒讀入內(nèi)存只是一瞬間的事情,往往在用戶意識到自己在啟動PC機時插錯了軟盤,或根本不該在軟驅(qū)中插軟盤時,已經(jīng)為時已晚了。許許多多種引導區(qū)型毒就是靠這種方式感染進硬盤的。PC機硬盤內(nèi)原本是無毒的,因為一次偶然的操作,使引導區(qū)型病毒從軟盤傳染進入了硬盤,這是很多用戶都經(jīng)歷過的。經(jīng)過分析,我們知道大麻病毒與其他許多引導區(qū)型病毒一樣,都只能從軟盤傳染到硬盤。
傳染方式
從傳染方式上講,大麻病毒是在系統(tǒng)執(zhí)行讀操作時進行傳染的。由于磁盤讀寫中斷被大麻病毒接管,因此任何磁盤操作都會被它過濾一遍,讀磁盤是最普遍的操作,大麻病毒在判斷到有讀盤操作發(fā)生時,就調(diào)用傳染子程序,對那些尚未被大麻病毒感染過的磁盤進行傳染。判斷的標志是大麻病毒自身的啟動程序代碼,因此很難為正確的引導扇區(qū)啟動程序制作大麻病毒的免疫標志。在這里我們也可以看到要制作出可以成為各種病毒都被通用的免疫標志是不可能的。我們不能依靠制作免疫標志的方法來抵御電腦病毒。
作為大麻病毒程序本身,其內(nèi)部并沒有刻意編寫的破壞代碼,如將FAT清零、格式化磁盤等,無法將其劃分為惡性病毒,但實際上大麻病毒卻能引來數(shù)據(jù)混亂、文件丟失等。
對軟盤來講,大麻病毒將原DOS引導扇區(qū)搬移到0道、1面、3扇區(qū)中,原扇區(qū)的內(nèi)容被覆蓋掉。如果該扇區(qū)含有有用信息,這將造成損失,在360KB容量的軟盤上,這個扇區(qū)是目錄區(qū)最后一個扇區(qū),若根目錄下的文件數(shù)目不是很多時,不會用到這個扇區(qū),也就不會有影響,對1)2MB容量的軟盤,大麻病毒占用的這個扇區(qū)位于目錄區(qū)的第三扇區(qū),而不是最后一個扇區(qū),這時存放在這個扇區(qū)的16個文件就全部丟失了,而根目錄里只有前兩個扇區(qū)內(nèi)的32個文件未受觸動。第3扇區(qū)以后的扇區(qū)內(nèi)容因第三扇區(qū)被破壞而使存放在其中的文件也無法被找到。這是大麻病毒覆蓋正常扇區(qū)的情況。反過來,若該盤是系統(tǒng)引導盤,被大麻感染之后,原引導扇被寫到0磁道、1柱面、3扇區(qū),當盤上建立的文件數(shù)逐漸增加,覆蓋了占據(jù)目錄區(qū)的原引導扇區(qū)內(nèi)容時,該盤就由能引導的啟動盤變成不能引導的啟動盤了。
對硬盤來講,大麻病毒可能不造成任何破壞,也可能會毀壞數(shù)據(jù),這取決于盤上安裝的DOS版本號。硬盤劃分分區(qū)時,有一個保留區(qū),也叫隱藏區(qū)。DOS2)x的FDISK劃分分區(qū)時,隱藏區(qū)的扇區(qū)數(shù)目為o,此時大麻病毒在傳染硬盤時,把原主引導扇區(qū)搬到o道0面7扇區(qū),該扇區(qū)正好是硬盤C:分區(qū)的FAT所在扇區(qū)。在這種情況下,不是造成由于FAT被破壞引起數(shù)據(jù)丟失,就是占據(jù)該位置的主引導區(qū)被破壞而引起硬盤不能啟動。DOS3)x的FDISK將整個一個磁道都劃為隱藏區(qū),除主引導扇區(qū)所處的第一扇區(qū)有用外,其他扇區(qū)作為保留,不放DOS信息。這種情況下,硬盤上即使感染上了大麻病毒,系統(tǒng)里的數(shù)據(jù)也不受損傷,因為0道0面7扇區(qū)是保留區(qū)內(nèi)的扇區(qū)。
在內(nèi)存中,大麻病毒占用了2KB內(nèi)存,實際只占用了1KB。檢查大麻病毒時,要在內(nèi)存中無病毒的情況下進行,不然剛剛清掉病毒又馬上會被感染上。
|
|
發(fā)表留言請先登錄!
|